Um auf eine geschützte Seite Zugriff zu bekommen, verwendet man in den allermeisten Fällen einen Usernamen und ein Passwort (oder eine PIN). In manchen Situationen ist das aber noch nicht sicher genug, insbesondere dann, wenn einerseits das Angriffsrisiko besonders hoch und andererseits der zu schützende Inhalt besonders wertvoll ist. In diesem Fall ist die zusätzliche Absicherung durch eine Two-Factor-Authentication (2FA) ratsam. Was das ist und wie man sie einsetzt, erfährst Du hier.
Was bedeutet “hohes Angriffsrisiko”?
Jedes System, auf das man von außen (also aus dem Internet) zugreifen kann, ist grundsätzlich anfällig für unberechtigte Zugriffsversuche. Manche Systeme sind besonders interessant, weil sie wertvolle Daten beinhalten, wie zum Beispiel Adressdaten oder Bank- bzw. Kreditkarteninformationen. Andere Systeme sind besonders interessant, weil sie wahrscheinlich leicht zu knacken sind, allein deshalb, weil sie sehr weit verbreitet und oft schlecht abgesichert sind. WordPress gehört auf jeden Fall zur letzteren Kategorie, aber manchmal auch zur ersten. Deswegen ist hier das Angriffsrisiko besonders hoch. Wenn Du ein Plugin installiert hast, das Deine Seite vor Angriffen schützt, siehst Du auch sehr bald, wie viele unautorisierte Zugriffsversuche es jeden Tag gibt.



Wie werden WordPress-Seiten angegriffen?
Ein häufig gewählter Weg, sich unberechtigt Zugang zum Backend einer WordPress-Seite zu verschaffen, ist das Probieren der gängigsten Kombinationen aus Usernamen und Passwörtern. Erschreckend viele Seitenbetreiber ändern nach dem Errichten ihrer Seite niemals den Namen des Administrator-Users (meistens “admin” oder “administrator”) und verwenden dazu noch ein schwaches Passwort. Die sogenannten “Brute-Force-Attacken” versuchen darum, sich auf dem Standardweg in die Seiten einzuloggen. Mit den Tipps in dem Ratgeber “5 Tipps, wie Du Deine WordPress-Seite vor einem Brute-Force-Angriff schützt“ hast Du Deine Seite schon ein ganzes Stück sicherer gemacht. Aber es geht noch besser, denn das Bessere ist des Guten Feind. Hier tritt die Two-Factor-Authentication auf den Plan!
Was ist Two-Factor-Authentication?



Bei diesem Verfahren reicht die Eingabe von Username und Passwort allein nicht aus. Es ist noch ein zusätzlicher Code erforderlich, der in regelmäßigen Abständen neu erzeugt wird und danach nur begrenzte Zeit gültig ist. Diese Verbindung aus Username, Passwort und vorübergehend gültigem Code macht es unmöglich zu erraten, was die Zugangsdaten sind. Der Angreifer müsste innerhalb der wenigen Sekunden (meistens 20-30), die solch ein Code gültig ist, alle Kombinationen aus User und Passwort und zusätzlich alle Kombinationen aus diesen Paaren und dem z. B. sechsstelligen Code erraten. Faktisch nicht möglich.
Ein weiterer Vorteil ist, dass selbst jemand, der -auf welchem Wege auch immer- in den Besitz Deines Loginnamens und Passworts gekommen ist, sich damit nicht in Deine Website einloggen kann, wenn er diesen Code nicht hat.
Wie funktioniert das in der Praxis?
Du installierst auf Deiner WordPress-Seite ein entsprechendes Two-Factor-Authentication-Plugin, welches Deine Login-Seite um ein Eingabefeld für den Code erweitert. Du musst dann beim Anmelden Deinen Usernamen, das (hoffentlich starke) Passwort und den Code eingeben, den Dir ein zweites Gerät anzeigt (daher der Name “two factor”). Dafür gibt es verschiedene Lösungen. Professionelle Anbieter versenden an ihre Firmenkunden dafür zum Beispiel sogenannte “RSA-Tokens”. Das sind kleine Geräte, die nichts anderes tun, als auf einem Display in regelmäßigen Abständen eine neuen Codenummer anzuzeigen.
Für Endanwender praktischer ist dagegen eine Two-Factor-Authentication-App, die auf dem Smartphone das gleiche tut. Zwei Beispiele dafür sind die Apps Google Authenticator, oder Authy. Es gibt natürlich noch weitere, aber für diesen Beitrag verwenden wir beispielhaft Google Authenticator.



Nachdem Du Dich für den jeweiligen Dienst registriert hast, erhältst Du von dem Anbieter einen Schlüssel, den Du in Deiner WordPress-Seite hinterlegst. Damit gleicht das Plugin den eingegebenen Code mit dem Code auf dem Server des Dienstanbieters ab. Denselben Schlüssel benötigst Du auch in der App, damit diese weiß, für welches Konto sie die Codes anzeigen soll.



Für den Login auf Deiner Seite musst Du nun die App öffnen, den dort angezeigten Code in das zusätzliche Feld der Loginseite eingeben und Dich anmelden. Der Server gleicht dann den Code mit dem aktuell für Dein Konto gültigen Code ab und das Plugin gestattet Dir bei Übereinstimmung den Login. Beachte dabei die Anzeige in der App, wie lange der aktuelle Code noch gilt.
In “Grenzfällen” ist die App manchmal nicht synchron mit dem Server, und trotz einiger Sekunden verbleibender Gültigkeit kann der Code auf dem Server beim Klick auf den Login-Button schon abgelaufen sein. In dem Fall versuche es noch einmal, kurz nachdem die App den nächsten neuen Code anzeigt.
Nachteil: Wenn Du Dein Smartphone nicht dabei hast, oder aus irgendeinem anderen Grund nicht darauf zugreifen kannst, dann bist Du selbst auch ausgesperrt. Aber erhöhte Sicherheit kommt immer zu dem Preis eines verminderten Komforts. Was Dir wichtiger ist, musst Du selbst abwägen.
Links für die oben genannten Apps
WordPress-Plugins
Nicht jeder Anbieter hat auch ein eigenes Plugin.
Für Google Authenticator gibt es mehrere Plugins von Drittanbietern. Wir verwenden zum Beispiel Google Authenticator von Henrik Schack.
Alternative: Das Plugin Authy
Android-Apps
Google Authenticator: https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2
Authy: https://play.google.com/store/apps/details?id=com.authy.authy
iOS-Apps
Google Authenticator: https://itunes.apple.com/de/app/google-authenticator/id388497605?mt=8
Authy: https://itunes.apple.com/de/app/authy/id494168017?mt=8
Mal ehrlich, arbeitest Du schon mit einem Two-Factor-Authenticator und wie sind Deine Erfahrungen?